Kritische Authentifizierungs-Umgehung in pac4j-jwt - CVE-2026-29000
⚠️ CVE-Referenzen:
CVE-2026-29000
Zusammenfassung
Forscher entdeckten eine kritische Sicherheitslücke in der JwtAuthenticator-Komponente der Bibliothek pac4j-jwt. Durch Ausnutzen dieser Schwachstelle können Angreifer gefälschte Authentifizierungs-Tokens erstellen und sich somit als beliebige Nutzer, inklusive Administratoren, ausgeben. Die Lücke betrifft Versionen bis 4.5.8, 5.7.8 und 6.3.2. Entwickler sollten dringend auf die neuesten, korrigierten Versionen aktualisieren.
Pac4j - Pac4j-jwt - CRITICAL - CVE-2026-29000.
The pac4j-jwt library's JwtAuthenticator prior to versions 4.5.9, 5.7.9, and 6.3.3 is susceptible to an authentication bypass that could allow remote adversaries to create forged authentication tokens. By leveraging the server's RSA public key, attackers are able to craft a JWE-wrapped PlainJWT with any subject and role claims, effectively circumventing signature verification. This flaw permits unauthorized impersonation of any user, potentially including administrative accounts, thereby posing a significant security risk.
BADGES: 👾 EXPLOITED | 🟡 PoC | SecurityVulnerability.io
Quelle: securityvulnerability.io